Internet op via OpenVPN op Synology

woensdag 16 augustus 2017 12:30

Acties:

Topicstarter

UPDATE: werkt wel op android telefoon, maar niet op windows 7 computer!
Dus onderstaande gaat alleen over de laptop.

Al heel veel opgezocht en gelezen en geprobeerd maar ik krijg het nog niet werkend

.

Wat ik wil: vanuit Frankrijk (of waar dan ook) via de openvpn verbinding die op mijn Synology NAS draait het internet op gaan om o.a. bepaalde NPO content te kunnen zien (is in het buitenland geblokkeerd namelijk) en veilig te kunnen internetten.

Wat lukt is dat ik een vpn verbinding krijg en mijn interne netwerk thuis kan benaderen echter zodra ik een publieke site wil openen krijg ik de melding dat de DNS niet gevonden kan worden.
Ik heb in de openvpn config deze 2 regels al opgenomen:
redirect-gateway def1
dhcp-option DNS 8.8.8.8
maar maakt geen verschil.

Op de Synology NAS heb ik al gespeeld met o.a. in de firewall wel en niet poort 1194 open zetten. Lijkt weinig verschil uit te maken. En uiteraard heb ik in de router de poort geforward, en dat lijkt dus wel goed te gaan anders kreeg ik helemaal geen vpn verbinding.

Wellicht ten overvloede, thuis draai ik op een pi3 ook pihole alwaar mijn router naar wijst betreft DNS requests.

Ik heb zelf het gevoel dat ik nog ergens iets in mijn NAS moet instellen zodat de VPN clients dus netjes het internet op kunnen. Maar wat? en Waar?

Iemand een idee?

[ Voor 4% gewijzigd door PuckStar op 16-08-2017 12:35 ]

woensdag 16 augustus 2017 12:37

Acties:

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Ik gebruik tegenwoordig de OpenVPN server in mijn router, maar heb een tijd lang wel via mijn Synology gewerkt op de manier die jij voor ogen hebt. Dus dat moet kunnen in principe.

Al eens zonder die DNS optie geprobeerd? En ik heb in mijn config gewoon "redirect-gateway" staan, zonder "def1", geen idee wat die def1 precies doet ik jouw config?

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

woensdag 16 augustus 2017 14:43

Acties:

Qlimaxxx

Stuur je alle verkeer over je vpn? (Ik weet niet of dat in win7 een optie is zoals op bijv. iOS)

Het klinkt een beetje alsof hij een dns server aangereikt krijgt van je Synology maar die vervolgens via Franse ip het internet op gaat.

Je kunt ook eens proberen te spelen met de metric values van je netwerk interfaces om je laptop over de vpn te forceren.

Omdat ik zelf met Apple spul werk is openvpn geen optie voor mij. Ik heb dus alleen ervaring met l2tp/IPSec.

woensdag 16 augustus 2017 16:26

Acties:

dezonnebril

Ik verwacht dat je een MTU (fragmentatie) probleem hebt. Zet in je OpenVPN client configuration file eens het volgende er bij:

mssfix 1200

Maak dan opnieuw verbinding met je OpenVPN server en kijk of het opgelost is. Mocht dit werken dan kun je de waarde ophogen (zo dicht mogelijk naar 1500). Ik heb deze waarde zelf op 1400 staan, maar dat moet je even proberen.

Kijk daarnaast inderdaad zoals Qlimaxxx ook al zei goed naar de bind order van je netwerkkaarten. In Windows 7 kun je dit nog instellen onder Network Connections - Advanced Settings. Zorg ervoor dat de OpenVPN adapter bovenaan staat. Je kunt dit ook oplossen door de metric aan te passen op de (alle!) NICs op de TCP/IP stack. Zorg er dan voor dat je de OpenVPN NIC de laagste metric waarde geeft.

If at first you don’t succeed, call it version 1.0

woensdag 16 augustus 2017 19:21

Acties:

PuckStar

Topicstarter

dezonnebril schreef op woensdag 16 augustus 2017 @ 16:26:
Ik verwacht dat je een MTU (fragmentatie) probleem hebt. Zet in je OpenVPN client configuration file eens het volgende er bij:

mssfix 1200

Maak dan opnieuw verbinding met je OpenVPN server en kijk of het opgelost is. Mocht dit werken dan kun je de waarde ophogen (zo dicht mogelijk naar 1500). Ik heb deze waarde zelf op 1400 staan, maar dat moet je even proberen.

Kijk daarnaast inderdaad zoals Qlimaxxx ook al zei goed naar de bind order van je netwerkkaarten. In Windows 7 kun je dit nog instellen onder Network Connections - Advanced Settings. Zorg ervoor dat de OpenVPN adapter bovenaan staat. Je kunt dit ook oplossen door de metric aan te passen op de (alle!) NICs op de TCP/IP stack. Zorg er dan voor dat je de OpenVPN NIC de laagste metric waarde geeft.

Ik heb nu beiden geprobeerd. Eerst in de config file 1200 en daarna ook nog even 1100 maar DNS resolven ho maar.
Daarna de bind order ingesteld dat de VPN adapter bovenaan staat maar ook dat helpt niet.
Als ik www.google.com ping of tracert krijg ik dus ook de melding dat hij die niet kan resolven.
Als ik 8.8.8.8 tracert dan zie ik dat hij wel via mijn NAS en router zoekt en uiteindelijk (met 1 drop) verder komt. Maar dat is dus geen DNS resolven.

Ik heb ook nog in de config de DNS serverip van mijn pi-hole gezet. Helpt niet.
Het moet wel iets in de laptop zijn aangezien het inmiddels dus wel prima werkt vanaf een smartphone.

Als iemand nog ideeen heeft.

woensdag 16 augustus 2017 19:29

Acties:

dezonnebril

Hmm, dat had ik verwacht aangezien de verbinding wel tot stand komt maar zoals ik het las niet stabiel leek (geen resolving) alleen op Windows.

Wellicht is het handig om je openvpn config even te delen met daarbij een nslookup en ipconfig info. Dan hebben we een beter beeld van de situatie.

If at first you don’t succeed, call it version 1.0

woensdag 16 augustus 2017 20:28

Acties:

PuckStar

Topicstarter

dezonnebril schreef op woensdag 16 augustus 2017 @ 16:26:
Ik verwacht dat je een MTU (fragmentatie) probleem hebt. Zet in je OpenVPN client configuration file eens het volgende er bij:

mssfix 1200

Maak dan opnieuw verbinding met je OpenVPN server en kijk of het opgelost is. Mocht dit werken dan kun je de waarde ophogen (zo dicht mogelijk naar 1500). Ik heb deze waarde zelf op 1400 staan, maar dat moet je even proberen.

Kijk daarnaast inderdaad zoals Qlimaxxx ook al zei goed naar de bind order van je netwerkkaarten. In Windows 7 kun je dit nog instellen onder Network Connections - Advanced Settings. Zorg ervoor dat de OpenVPN adapter bovenaan staat. Je kunt dit ook oplossen door de metric aan te passen op de (alle!) NICs op de TCP/IP stack. Zorg er dan voor dat je de OpenVPN NIC de laagste metric waarde geeft.

dezonnebril schreef op woensdag 16 augustus 2017 @ 19:29:
Hmm, dat had ik verwacht aangezien de verbinding wel tot stand komt maar zoals ik het las niet stabiel leek (geen resolving) alleen op Windows.

Wellicht is het handig om je openvpn config even te delen met daarbij een nslookup en ipconfig info. Dan hebben we een beter beeld van de situatie.

Dit is op dit moment de config. Ik heb hierin dus wel gespeeld met bepaalde settings.

code:

dev tun
tls-client

remote ipadresthuis 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

dhcp-option DNS ipadrespihole

mssfix 1100

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2


comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA256

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
XXXXX
-----END CERTIFICATE-----
</ca>

Gekke is dat een nslookup werkt maar in de browser niet.

code:

nslookup www.google.com
Server:  ingest.vungle.com   (<= dit zegt mij niets)
Address:  ipadrespihole

Non-authoritative answer:
Name:    www.google.com
Addresses:  2a00:1450:4009:807::2004
          216.58.206.132

En de ipconfig:

code:

Windows IP Configuration

Ethernet adapter Local Area Connection 2:     <= VPN CONNECTIE

   Connection-specific DNS Suffix  . :
   IPv4 Address. . . . . . . . . . . : 10.8.0.6
   Subnet Mask . . . . . . . . . . . : 255.255.255.252
   Default Gateway . . . . . . . . . : 10.8.0.5

Ethernet adapter Bluetooth Network Connection:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :

Ethernet adapter Local Area Connection:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : xxx.local

Wireless LAN adapter Wireless Network Connection:

   Connection-specific DNS Suffix  . : sitez.s.ibrowse.com
   IPv4 Address. . . . . . . . . . . : 10.224.204.133
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . :

woensdag 16 augustus 2017 23:00

Acties:

dezonnebril

Je hebt waarschijnlijk een oudere versie van pihole draaien. De naam die resolved met de nslookup naar je pi-hole, is zeer waarschijnlijk het eerste adres uit de adlist. Latere versies van pihole doen dit niet meer en geven de pihole hostname terug.

Daarnaast is het wel erg vreemd dat je wel gewoon een nslookup kunt doen en dat het niet werkt in een browser... Wat ik zo op de late avond nog even kan bedenken:

Je hebt geen ipconfig /all gedaan, als je dit doet, zie je dan je pihole IP adres als DNS server staan op je OpenVPN interface?

Als je een trace doet naar www.google.nl, is de eerste hop dan je synology (ip 10.8.0.5?) en kan de trace voltooid worden?

Heb je op je synology geen firewall/IP rules aan staan m.b.t. deze ipreeks? Ze de firewall/IP rules even helemaal uit op je synology m.b.t. deze issue

Geen proxy o.i.d. ingesteld in je browser?

Metric van de netwerkkaarten ingesteld / bind volgorde ingesteld voor de OpenVPN NIC?

[ Voor 6% gewijzigd door dezonnebril op 16-08-2017 23:08 ]

If at first you don’t succeed, call it version 1.0

zaterdag 19 augustus 2017 17:50

Acties:

PuckStar

Topicstarter

dezonnebril schreef op woensdag 16 augustus 2017 @ 23:00:
Je hebt waarschijnlijk een oudere versie van pihole draaien. De naam die resolved met de nslookup naar je pi-hole, is zeer waarschijnlijk het eerste adres uit de adlist. Latere versies van pihole doen dit niet meer en geven de pihole hostname terug.

Daarnaast is het wel erg vreemd dat je wel gewoon een nslookup kunt doen en dat het niet werkt in een browser... Wat ik zo op de late avond nog even kan bedenken:
Je hebt geen ipconfig /all gedaan, als je dit doet, zie je dan je pihole IP adres als DNS server staan op je OpenVPN interface?
Als je een trace doet naar www.google.nl, is de eerste hop dan je synology (ip 10.8.0.5?) en kan de trace voltooid worden?
Heb je op je synology geen firewall/IP rules aan staan m.b.t. deze ipreeks? Ze de firewall/IP rules even helemaal uit op je synology m.b.t. deze issue
Geen proxy o.i.d. ingesteld in je browser?
Metric van de netwerkkaarten ingesteld / bind volgorde ingesteld voor de OpenVPN NIC?

ipconfig /all

code:

Windows IP Configuration

   Host Name . . . . . . . . . . . . : xxx
   Primary Dns Suffix  . . . . . . . : xxx.local
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : xxx.local

Ethernet adapter Local Area Connection 2:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : TAP-Windows Adapter V9
   Physical Address. . . . . . . . . : 00-FF-xxx
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 10.8.0.6(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.252
   Lease Obtained. . . . . . . . . . : vrijdag 18 augustus 2017 12:00:26
   Lease Expires . . . . . . . . . . : zaterdag 18 augustus 2018 12:00:26
   Default Gateway . . . . . . . . . : 10.8.0.5
   DHCP Server . . . . . . . . . . . : 10.8.0.5
   DNS Servers . . . . . . . . . . . : piholeipadres
   NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter Bluetooth Network Connection:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Bluetooth Device (Personal Area Network)
   Physical Address. . . . . . . . . : AC-ED-xxx
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes

Ethernet adapter Local Area Connection:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : santander.local
   Description . . . . . . . . . . . : Intel(R) Ethernet Connection I219-LM
   Physical Address. . . . . . . . . : 18-xxx
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes

Wireless LAN adapter Wireless Network Connection:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Intel(R) Dual Band Wireless-AC 8260
   Physical Address. . . . . . . . . : AC-ED-xxx
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 192.168.50.29(Preferred)     VAN HET WIFI VAN HET HOTEL
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : vrijdag 18 augustus 2017 11:44:36
   Lease Expires . . . . . . . . . . : vrijdag 18 augustus 2017 16:44:35
   Default Gateway . . . . . . . . . :
   DHCP Server . . . . . . . . . . . : 192.168.50.1
   DNS Servers . . . . . . . . . . . : 192.168.50.1
   NetBIOS over Tcpip. . . . . . . . : Enabled

tracert www.google.nl

code:

Tracing route to www.google.nl [172.217.20.99]
over a maximum of 30 hops:

  1    56 ms    47 ms    48 ms  MIJNNAS [10.8.0.1]
  2    46 ms    52 ms    45 ms  livebox.home [192.168.1.1]     <= mijn eigen router thuis
  3    68 ms    83 ms    72 ms  lo0.dr11.d12.xs4all.net [194.109.5.175]
  4    63 ms    54 ms    50 ms  0.ae21.xr4.1d12.xs4all.net [194.109.7.169]
  5    64 ms    52 ms    49 ms  0.ae5.xr1.sara.xs4all.net [194.109.5.2]
  6    51 ms    50 ms    56 ms  core2.ams.net.google.com [80.249.209.100]
  7    52 ms    50 ms    54 ms  108.170.241.193
  8    52 ms    59 ms    54 ms  209.85.240.31
  9    53 ms    50 ms    50 ms  fra02s28-in-f3.1e100.net [172.217.20.99]

Trace complete.

De enige firewall rules die ik op de NAS heb staan zijn voor SFTP (poor22) verkeer. Daarvan worden alleen sommige ip adressen toegestaan.
Ik heb verder geen regels in de synology firewall staan. Ik las wel ergens dat iemand de VPN ip range in de firewall heeft gezet.
Is dat nodig denk je? En zo ja, wat moet precies aan regel(s) toevoegen?

Volgens mij moet het nog steeds iets zijn op de laptop zelf en dus niet op de NAS, want immers de smartphones werken prima.
Proxy staat trouwens uit.

Vreemde is ook dat ik nu bijvoorbeeld wel via de vpn op mijn eigen netwerk kan maar dat browsen toch via de gateway van het hotel wifi gaat.
Ondanks dat de gateway redirect in de config file staat.
Dus woensdag als ik de vpn aanzette (let wel ik was toen in een ander hotel) kon ik alleen nog maar op het interne thuisnetwerk en browsen kon helemaal niet.
En nu kan ik blijven browsen echter is dat via de hotel wifi (zegt ook whatismyipaddress.com)

zaterdag 19 augustus 2017 18:14

Acties:

ThinkPad

Je moet denk ik ergens in de OpenVPN config van de Synology wat aanpassen.
Heb daar in het verleden ook eens gedoe mee gehad: ThinkPadd in "[Synology] Packages".

Zou wel even zorgen dat je ook nog bij de webgui van de Synology kan voordat je iets gaat aanpassen, want als je VPN-server niet meer up komt na je aanpassing heb je een probleem

P.S. Ik zou je VPN over poort 443 TCP sturen ipv poort 1194 UDP. Je hebt geluk dat het nu werkt, maar vaak worden dit soort poorten geblokt. De poort voor HTTPS is ook 443 TCP dus die staat nergens geblokt.

[ Voor 18% gewijzigd door ThinkPad op 19-08-2017 18:16 ]

zaterdag 19 augustus 2017 18:28

Acties:

dezonnebril

Een andere (populaire) poort is inderdaad aan te bevelen voor verbinding op hotspots, zoals 80 of 443 maar ik zou wel op UDP blijven i.v.m. de overhead op TCP. Mijn ervaring is dat OpenVPN op UDP veel beter werkt. Dit wordt trouwens ook door de OpenVPN community zelf aangeraden.

Je trace ziet er overigens prima uit, dus het verkeer gaat wel de goede kant op. Just to be sure: heb je de netwerk provider order (of metric op de nic) goed gezet op je Win7 machine?

Zie ook https://support.microsoft.com/en-us/help/2526067 mocht het niet duidelijk zijn. De OpenVPN connectie dient bovenaan te staan.

Tip: ik weet dat een collega van mij ook vreemde problemen had met OpenVPN via de Synology. Uiteindelijk werd hij vrolijker van pivpn (https://www.pivpn.io). Ik draai zelf OpenVPN op mijn router, dus geen specifieke Syno ervaring.

[ Voor 34% gewijzigd door dezonnebril op 19-08-2017 18:36 ]

If at first you don’t succeed, call it version 1.0

donderdag 24 augustus 2017 20:43

Acties:

PuckStar

Topicstarter

dezonnebril schreef op zaterdag 19 augustus 2017 @ 18:28:
Een andere (populaire) poort is inderdaad aan te bevelen voor verbinding op hotspots, zoals 80 of 443 maar ik zou wel op UDP blijven i.v.m. de overhead op TCP. Mijn ervaring is dat OpenVPN op UDP veel beter werkt. Dit wordt trouwens ook door de OpenVPN community zelf aangeraden.

Je trace ziet er overigens prima uit, dus het verkeer gaat wel de goede kant op. Just to be sure: heb je de netwerk provider order (of metric op de nic) goed gezet op je Win7 machine?

Zie ook https://support.microsoft.com/en-us/help/2526067 mocht het niet duidelijk zijn. De OpenVPN connectie dient bovenaan te staan.

Tip: ik weet dat een collega van mij ook vreemde problemen had met OpenVPN via de Synology. Uiteindelijk werd hij vrolijker van pivpn (https://www.pivpn.io). Ik draai zelf OpenVPN op mijn router, dus geen specifieke Syno ervaring.

ThinkPadd schreef op zaterdag 19 augustus 2017 @ 18:14:
Je moet denk ik ergens in de OpenVPN config van de Synology wat aanpassen.
Heb daar in het verleden ook eens gedoe mee gehad: ThinkPadd in "[Synology] Packages".

Zou wel even zorgen dat je ook nog bij de webgui van de Synology kan voordat je iets gaat aanpassen, want als je VPN-server niet meer up komt na je aanpassing heb je een probleem

P.S. Ik zou je VPN over poort 443 TCP sturen ipv poort 1194 UDP. Je hebt geluk dat het nu werkt, maar vaak worden dit soort poorten geblokt. De poort voor HTTPS is ook 443 TCP dus die staat nergens geblokt.

Ok dus ik ging vanuit het hotel (en met de VPN open) even naar liveleak maar patsboem kreeg een melding van Mcafee proxy dat ik niet naar die site mag! Oftewel er is onderwater een proxy ingesteld die ik dus niet zag als ik bij de proxy instellingen keek.
Ik ben eigenlijk vrij zeker dat dit de reden is dat browsen nog steeds via het hotel wifi ging ipv via mijn VPN.
Het is een laptop van mijn werk. Ik zal een keer kijken of ik die proxy tijdelijk uit kan laten zetten (ik heb daar zelf niet de rechten voor) en zal het dan nog eens testen.

Bedankt allen voor het meedenken!

vrijdag 25 augustus 2017 16:51

Acties:

dlocorotondo

PuckStar schreef op zaterdag 19 augustus 2017 @ 17:50:
[...]

ipconfig /all

code:

Windows IP Configuration

   Host Name . . . . . . . . . . . . : xxx
   Primary Dns Suffix  . . . . . . . : xxx.local
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : xxx.local

Ethernet adapter Local Area Connection 2:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : TAP-Windows Adapter V9
   Physical Address. . . . . . . . . : 00-FF-xxx
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 10.8.0.6(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.252
   Lease Obtained. . . . . . . . . . : vrijdag 18 augustus 2017 12:00:26
   Lease Expires . . . . . . . . . . : zaterdag 18 augustus 2018 12:00:26
   Default Gateway . . . . . . . . . : 10.8.0.5
   DHCP Server . . . . . . . . . . . : 10.8.0.5
   DNS Servers . . . . . . . . . . . : piholeipadres
   NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter Bluetooth Network Connection:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Bluetooth Device (Personal Area Network)
   Physical Address. . . . . . . . . : AC-ED-xxx
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes

Ethernet adapter Local Area Connection:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : santander.local
   Description . . . . . . . . . . . : Intel(R) Ethernet Connection I219-LM
   Physical Address. . . . . . . . . : 18-xxx
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes

Wireless LAN adapter Wireless Network Connection:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Intel(R) Dual Band Wireless-AC 8260
   Physical Address. . . . . . . . . : AC-ED-xxx
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 192.168.50.29(Preferred)     VAN HET WIFI VAN HET HOTEL
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : vrijdag 18 augustus 2017 11:44:36
   Lease Expires . . . . . . . . . . : vrijdag 18 augustus 2017 16:44:35
   Default Gateway . . . . . . . . . :
   DHCP Server . . . . . . . . . . . : 192.168.50.1
   DNS Servers . . . . . . . . . . . : 192.168.50.1
   NetBIOS over Tcpip. . . . . . . . : Enabled

tracert www.google.nl

code:

Tracing route to www.google.nl [172.217.20.99]
over a maximum of 30 hops:

  1    56 ms    47 ms    48 ms  MIJNNAS [10.8.0.1]
  2    46 ms    52 ms    45 ms  livebox.home [192.168.1.1]     <= mijn eigen router thuis
  3    68 ms    83 ms    72 ms  lo0.dr11.d12.xs4all.net [194.109.5.175]
  4    63 ms    54 ms    50 ms  0.ae21.xr4.1d12.xs4all.net [194.109.7.169]
  5    64 ms    52 ms    49 ms  0.ae5.xr1.sara.xs4all.net [194.109.5.2]
  6    51 ms    50 ms    56 ms  core2.ams.net.google.com [80.249.209.100]
  7    52 ms    50 ms    54 ms  108.170.241.193
  8    52 ms    59 ms    54 ms  209.85.240.31
  9    53 ms    50 ms    50 ms  fra02s28-in-f3.1e100.net [172.217.20.99]

Trace complete.

De enige firewall rules die ik op de NAS heb staan zijn voor SFTP (poor22) verkeer. Daarvan worden alleen sommige ip adressen toegestaan.
Ik heb verder geen regels in de synology firewall staan. Ik las wel ergens dat iemand de VPN ip range in de firewall heeft gezet.
Is dat nodig denk je? En zo ja, wat moet precies aan regel(s) toevoegen?

Volgens mij moet het nog steeds iets zijn op de laptop zelf en dus niet op de NAS, want immers de smartphones werken prima.
Proxy staat trouwens uit.

Vreemde is ook dat ik nu bijvoorbeeld wel via de vpn op mijn eigen netwerk kan maar dat browsen toch via de gateway van het hotel wifi gaat.
Ondanks dat de gateway redirect in de config file staat.
Dus woensdag als ik de vpn aanzette (let wel ik was toen in een ander hotel) kon ik alleen nog maar op het interne thuisnetwerk en browsen kon helemaal niet.
En nu kan ik blijven browsen echter is dat via de hotel wifi (zegt ook whatismyipaddress.com)

Zover ik kan zien push je de instellingen van jouw config niet naar de client:

in jouw server config zet je dit:

push "route LANHOSTNETWORK SUBNET_LONG" -> 192.168.1.0 255.255.255.0
push "dhcp-option DOMAIN internezoek.domein"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS ISPDNS"
push "redirect-gateway def1"
push "register-dns"

eventueel kan je dit ook "pullen" vanuit de client config
redirect-gateway def1

Wat ook aan de hand kan zijn is dat je default route niet klopt
doe eens: "route print -4" in een cmd van windows als je verbonden bent met jouw VPN

[ Voor 2% gewijzigd door dlocorotondo op 25-08-2017 18:48 . Reden: quotes en eventuele client config ]

Vraag

Alle reacties